工业和信息化部网络安全威胁和漏洞信息共享平台:防范Remcos恶意软件新变种

时间:2026-07-17 06:34:25来源:云北源资讯网 作者:百科

来源:工业和信息化部网络安全威胁和漏洞信息共享平台

近日,工业共享工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测到一种活跃的和信Remcos恶意软件新变种。该变种创新性地结合了DonutLoader内存加载技术AutoIt自动化脚本中间层调度,息化胁和信息新变显著提升了隐蔽性与对抗能力。部网

1. 背景与危害

Remcos(Remote Control System)是络安漏洞一种自2016年起便广泛存在的远程访问木马(RAT)。其主要攻击目标为Windows操作系统,全威一旦感染,平台攻击者可完全控制受害主机,防范导致系统失陷、恶意敏感数据泄露、软件业务中断等严重后果。工业共享

2. 技术深度解析:全链路混淆与内存加载

此次发现的和信 Remcos RAT 7.2.1 Pro版本,是息化胁和信息新变Remcos家族中首个实现“DonutLoader + AutoIt”全链路融合的变种。其攻击链条复杂,部网主要包含以下阶段:

2.1 初始入侵:钓鱼与脚本代理

  • 诱导方式:攻击者通过钓鱼邮件诱导用户执行名为 Bestellung.CMD的络安漏洞批处理文件。
  • 合法组件滥用:该批处理文件调用Windows系统自带组件 SyncAppvPublishingServer.vbs作为执行代理,规避传统杀软对恶意可执行文件的检测。

2.2 载荷下载与解码

  • 内存执行:利用PowerShell执行Base64加密的恶意命令,全程在内存中运行,不落地生成临时文件。
  • 资源获取:从pCloud云存储下载7Zip工具及加密压缩包。
  • 数据解析:释放JavaScript脚本和AutoIt解释器,用于解析嵌入在恶意PNG图片中的加密数据。解码后获取最终的注入指令。

2.3 进程注入与部署

  • Shellcode生成:利用DonutLoader技术将Remcos RAT转换为Shellcode(恶意二进制代码)。
  • 合法进程注入:将Shellcode注入系统合法进程 colorcpl.exe(颜色配置程序)中执行,实现“白加黑”隐蔽驻留。

3. 恶意行为与功能

部署成功后,该恶意软件具备强大的远程控制能力,包括但不限于:
* 远程监控:实时截屏、键盘记录。
* 凭证窃取:窃取浏览器保存的密码及系统登录凭证。
* 硬件控制:远程激活摄像头与麦克风,进行窃听或偷拍。
* 文件管理:上传、下载、删除或加密文件。

4. 防御难点分析

该变种通过多重技术手段大幅提升了防御拦截难度:
1. 全工具链合法化:全面借用PowerShell、VBScript、JavaScript等系统原生工具,替代传统恶意组件。
2. 多层编码混淆:融合三层脚本编码,结合Base64加垃圾数据混淆、XOR单字节解密。
3. 强加密保护:使用密码保护的压缩包传输载荷。
4. 内存注入技术:利用DonutLoader实现无文件落地攻击,绕过基于文件的静态查杀。

5. 防护建议

针对此类高级威胁,建议相关单位和用户立即采取以下措施:

  • 全面排查:立即组织对网络资产进行安全排查,重点关注异常进程与可疑脚本行为。
  • 更新防护:及时更新防病毒软件病毒库,启用实时防护,并对全盘进行病毒查杀。
  • 谨慎操作:严禁点击或下载来源不明的邮件附件,尤其是 .cmd.vbs.js等脚本文件。
  • 漏洞修复:及时修补操作系统及应用软件的安全漏洞,减少攻击面。
  • 数据备份:定期备份重要数据,确保在遭受勒索或破坏时能快速恢复。
相关内容